灰鸽子并未退出江湖,新版本采用进程内容替换和进程监视技术

linker14年前 (2007-07-04)系统安全260
新闻来源:铁军的杀毒博客
继灰鸽子木马宣称退出江湖之后的一段时间内,金山反病毒中心截获的灰鸽子相关病毒,主要是以加壳做免杀为主。上周末,金山反病毒中新截获一重大变化的灰鸽子新变种,证实灰鸽子并未退出江湖,在经过短暂的静默之后,正在图谋收复失地。

新版灰鸽子的主要更新有:

采用进程内容替换技术和双进程互相监视技术,大大提高自我保护的能力;

进程内容替换是指:病毒启动一个Iexplore.exe 进程,然后把该进程的内容替换为病毒进程的内容。从而具备更深的隐藏性。

进程互相监视:病毒此次启动了Iexplre.exe和Calc.exe(计算机)两个进程,并都使用了进程内容替换技术,将这两个进程替换为病毒进程。此时内存中存在两个病毒进程,它们会相互守护,当发一其中任意一个被结束时,未被结束的进程会将其重新启动。

据金山反病毒中心监测的结果,目前该变种感染量还较小,但可能成为AVKiller(AV终结者)之类的木马下载器重点传播的后门程序。也就是说,新版灰鸽子可能会和AV终结者狼狈为奸,对电脑用户造成严重的安全威胁。提醒各位网友,访问http://zhuansha.duba.net/259.shtml 下载AV终结者专杀工具,检查是否遭受“AV终结者”入侵,从而保证杀毒软件处于正常工作状态。

以下是该病毒的详细分析报告:

这是一个Windows平台下的黑客病毒,中毒后,病毒会连接到远程的黑客主机,使用户机器完全受控于黑客。黑客可以查看、下载中毒机器上的任意文件,记录用户所有电脑操作,盗取用户QQ号码、网银等信息等。当用户主机连有摄像头时,黑客甚至可以通过摄像头对用户进行远程监视,造成用户数据、隐私泄露,危害极大。

1、将自身伪装成以下伪系统正常程序:
%systemdir%ssms.exe
系统分区:Program FilesCommon FilesMicrosoft SharedMSInfo_ssms.exe

2、添加如下病毒服务:
服务名: Windows-UP
显示名: Windows-UP_2007_71
服务描述: 系统最新安全补丁自动更新
服务文件:%systemdir%ssms.exe

3、尝试删除QQ的键盘驱动文件npkcrypt.sys。

4、创建两个隐藏进程:%systemdir%calc.exe(系统自带的计算器进程) 和 系统分区:program filesinternet explorerIEXPLORE.EXE(IE进程),将这两个进程的代码替换成自己的病毒代码然后执行,这两个进程会互相守护。

5、病毒发作时,会主动连接病毒作者的控制端,成功连接病毒作者的控制端后,病毒作者能够实时获取用户屏幕内容、实时监视/控制用户摄像头、记录中文聊天记录、查看/下载用户机器上的任意文件、查看/终止用户任意进程,也能够控制被感染机器关机或重启。

网友taylor0577也对该变种作了详细分析,请参考:

http://hi.baidu.com/taylor0577/blog/item/37e79f453325cf3d869473f0.html

相关文章

如何在Linux中设置透明代理

1.什么是透明代理?   如果你问:我如何才能使得用户的浏览器不需要任何代理设置就能使用我的Squid cache代理服务器上网?此时你就需要使用透明代理。透明代理让你的客户端不需设置任何代理...

MSSQL扩展存储后门

Author: lake2 ( http://lake2.0x54.org ) 注:本文发表于《黑客防线》2006年第2期 继WebShell、FTPShell之后,让我们再来玩玩SQLShell...

社会工程学基础:黑客战术

一个真实的故事   几年前的一个早晨,一群陌生人走进了一家大型远洋运输公司并控制了该公司的整个计算机网络。他们是怎么做到的?是通过从该公司的许多不同的员工那里一点点的获得帮助来达到目的的。首先,...

木马下载者wniapsvr.exe来了

分析:File: wniapsvr.exeSize: 24333 bytesFile Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)MD5: E73...

站街小姐给微软高管上了一堂MBA课【实用】

这才叫赚钱:月薪80000的小姐给我上了震撼一课 这个小姐做CSI恐怕也行。 这个站街小姐太强劲了,要做生意额朋友好好看看。。。 我突然觉得想找个女人,于是匆匆结束了一个会议,在国...

黑客基本攻击手段及其预防措施揭秘介绍

 目前造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性,导致了系统在远程访问、权限控制和口令管理等许多方...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。